參考安全性主體
Azure Data Explorer 授權模型可讓您將 Microsoft Entra 使用者和應用程式身分識別和 Microsoft 帳戶 (MSA) 作為安全性主體使用。 本文提供 Microsoft Entra 標識碼和 MSA 支援的主體類型概觀,並示範如何使用管理命令指派安全性角色時正確參考這些主體。
Microsoft Entra 識別碼
存取叢集的建議方式是向 Microsoft Entra 服務進行驗證。 Microsoft Entra 標識碼是識別提供者,能夠驗證安全性主體,並與其他識別提供者協調,例如 Microsoft 的 Active Directory。
Microsoft Entra 識別碼支援下列驗證案例:
- 使用者驗證 (互動式登入):用來驗證人為主體。
- 應用程式驗證 (非互動式登錄) :用來驗證必須執行或驗證而不需使用者互動的服務與應用程式。
注意
- Microsoft Entra識別碼不允許驗證依定義內部部署 AD 實體的服務帳戶。 AD 服務帳戶的 Microsoft Entra 對等專案是 Microsoft Entra 應用程式。
- 僅支援安全組 (SG) 主體,不支援通訊群組 (DG) 主體。 嘗試在叢集上設定 DG 的存取權會導致錯誤。
參考 Microsoft Entra 主體和群組
下表概述參考 Microsoft Entra 用戶和應用程式主體和群組的語法。
如果您使用 用戶主體名稱 (UPN) 來參考用戶主體,則會嘗試從功能變數名稱推斷租使用者,並嘗試尋找主體。 如果找不到主體,請明確指定租使用者標識碼或名稱,以及使用者的UPN或物件識別碼。
同樣地,您可以使用 UPN格式 的群組電子郵件地址來參考安全組,並嘗試從功能變數名稱推斷租使用者。 如果找不到群組,除了群組顯示名稱或物件標識符之外,請明確指定租用戶標識碼或名稱。
實體類型 | Microsoft Entra 租使用者 | Syntax |
---|---|---|
使用者 | 隱含 | aaduser =Upn |
使用者 | 明確 (識別碼) | aaduser =UPN;TenantId或 aaduser =ObjectID;TenantId |
使用者 | 明確 (名稱) | aaduser =UPN;TenantName或 aaduser =ObjectID;TenantName |
分組 | 隱含 | aadgroup =GroupEmailAddress |
分組 | 明確 (識別碼) | aadgroup =GroupDisplayName;TenantId或 aadgroup =GroupObjectId;TenantId |
分組 | 明確 (名稱) | aadgroup =GroupDisplayName;TenantName或 aadgroup =GroupObjectId;TenantName |
應用程式 | 明確 (識別碼) | aadapp =ApplicationDisplayName;TenantId或 aadapp =ApplicationId;TenantId |
應用程式 | 明確 (名稱) | aadapp =ApplicationDisplayName;TenantName或 aadapp =ApplicationId;TenantName |
注意
使用 「App」 格式來參考 受控識別, 其中 ApplicationId 是受控識別物件識別碼或受控識別用戶端 (應用程式) 識別碼。
範例
下列範例會使用使用者UPN來定義資料庫上使用者角色的 Test
主體。 未指定租用戶資訊,因此您的叢集會嘗試使用 UPN 解析 Microsoft Entra 租使用者。
.add database Test users ('aaduser=imikeoein@fabrikam.com') 'Test user (AAD)'
下列範例會使用組名和租用戶名稱,將群組指派給資料庫上的 Test
使用者角色。
.add database Test users ('aadgroup=SGDisplayName;fabrikam.com') 'Test group @fabrikam.com (AAD)'
下列範例會使用應用程式識別碼和租用戶名稱,將應用程式指派給資料庫上的 Test
使用者角色。
.add database Test users ('aadapp=4c7e82bd-6adb-46c3-b413-fdd44834c69b;fabrikam.com') 'Test app @fabrikam.com (AAD)'
Microsoft 帳戶 (MSA)
支援 Microsoft 帳戶 (MSA) 的用戶驗證。 MSA 是 Microsoft 管理的非組織用戶帳戶。 例如,hotmail.com
、live.com
、outlook.com
。
參考 MSA 主體
IdP | 類型 | 語法 |
---|---|---|
Live.com | 使用者 | msauser= Upn |
範例
下列範例會將 MSA 使用者指派給資料庫上的 Test
使用者角色。
.add database Test users ('msauser=abbiatkins@live.com') 'Test user (live.com)'
管理數據表的數據分割原則
- 閱讀 驗證概觀
- 瞭解如何使用 管理命令來指派安全性角色
- 瞭解如何使用 Azure 入口網站 來管理資料庫主體和角色
- current_principal_details()
意見反應
https://aka.ms/ContentUserFeedback。
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:提交並檢視相關的意見反應